Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Новый ботнет использует SSH-серверы для взлома сетей Linux (http://txgate.io:443/showthread.php?t=11775)

Artifact 02-08-2025 06:02 PM

Ботнет сохраняется в системе даже после удаления, но при этом он не наносит вред устройству.
https://www.securitylab.ru/upload/ib...d9b5e94b8b.png
Новый ботнет под названием «RapperBot» используется в атаках с середины 2022 года, сосредоточившись на брутфорсе SSH-серверов Linux, чтобы закрепиться на устройстве.
Согласно отчету исследователей из Fortinet , RapperBot основан на трояне Mirai , но отличается от него более жестким контролем и ограниченными возможностями. RapperBot ориентирован на первоначальный доступ к серверу, который может использоваться в качестве трамплина для бокового перемещения в сети.
За 1,5 месяца с момента обнаружения новый ботнет использовал более 3500 уникальных IP-адресов по всему миру для сканирования и попытки взлома SSH-серверов Linux.
«В отличие от большинства вариантов Mirai, которые изначально перебирают Telnet-серверы с помощью стандартных или слабых паролей, RapperBot сканирует и пытается выполнить брутфорс SSH-серверов, настроенных на прием аутентификации по паролю. Брутфорс основан на списке учетных данных, загруженных с C2 через уникальные TCP-запросы хоста.», — поясняется в отчете Fortinet .
Эксперты заметили, что RapperBot использовал механизм самораспространения через удаленный загрузчик бинарных файлов, который был удален злоумышленниками в середине июля.
Также ботнет использует команду оболочки, которая заменяет SSH-ключи жертвы на ключи хакера, чтобы оставаться в системе даже после смены SSH-пароля, перезагрузки устройства или удаления вредоносного ПО.
В самых последних обнаруженных образцах бот добавляет root-пользователя «suhelper» на скомпрометированное устройство и создает задание Cron, которое повторно добавляет пользователя каждый час на случай, если администратор обнаружит учетную запись и удалит ее.
https://www.securitylab.ru/upload/im...t-img(269).png
Атака RapperBot
Кроме того, в более поздних образцах операторы ботнета добавили дополнительные уровни обфускации к строкам, такие как XOR-кодирование.
Цели RapperBot неясны, однако, удаление функции самораспространения и добавление механизмов сохранения указывают на то, что операторы ботнета заинтересованы в продаже продукта другим вымогателям.
Аналитики Fortinet не обнаружили дополнительных полезных нагрузок после компрометации, поэтому вредоносное ПО просто существует на зараженных хостах Linux и бездействует.


All times are GMT. The time now is 02:41 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.